Web渗透测试--漏洞扫描利器内萨斯(Nessus)

发表于:2021-10-22 09:51

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:谢小玲    来源:知乎

#
Nessus
分享:
  对于网络安全来说,一边是攻击,一边是防护,如同矛和盾。双方争夺的焦点,就是漏洞。对于攻方来说,漏洞是突破口,顺着漏洞顺藤摸瓜。对于防方来说,如果提前发现漏洞,堵住漏洞,安全系数提高很多。他们都需要用到漏洞扫描来知己知彼。
  市面上的漏洞扫描工具很多。比较著名的有:
  HP的WebInspect
  WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。
  IBM的AppScan
  支持 Web 2.0、 JavaScript 和 AJAX 框架的全面的 JavaScript 执行引擎。涵盖 XML 和 JSON 基础架构的 SOAP 和 REST Web 服务测试支持 WSSecurity 标准、 XML 加密和 XML 签名。详细的漏洞公告和修复建议。40 多种合规性报告,包括支付卡行业数据安全标准 (PCI DSS)、支付应用程序数据安全标准 (PA-DSS)、 ISO 27001 和 ISO 27002,以及 Basel II。
  这两款是要收费的。
  现在给大家推荐一款免费的漏洞扫描工具:(Nessus家庭版)
  Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。对应渗透测试人员来说,Nessus是必不可少的工具之一。
  Nessus官网提供了两种版本:家庭版和专业版。
  家庭版:家庭版是供非商业性或个人使用。家庭版比较适合个人使用,可以用于非专业的环境。
  专业版:专业版是供商业性使用。它包括支持或附加功能,如无线并发连接等。
  Nessus安装
  先去官网下载:
  https://www.tenable.com/downloads/nessus
  选择对应系统的安装包。
  下载好了以后用如下命令安装:
  dpkg -i  xxxx
  启动:
  /etc/init.d/nessusd start
  然后浏览器中输入: https://127.0.0.1:8843
  在Advance中添加信任,就来到了这个页面:
  设置一个账号。
  然后到了需要激活码的地方,注意,需要选择home版本。
  去这个页面
  http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code
  输入邮箱获取一个激活码,在页面输入激活码,就到了这个页面。
  漫长的等待,安装成功就到了这个页面。
  可能会出现插件安装失败的情况。
  那么我们可以使用命令行进行更新下载插件
  /opt/nessus/sbin/nessuscli update —plugins-only
  /opt/nessus/sbin/nessuscli update —all 来更新所有(软件更新+插件更新)
  Nessus扫描
  首先创建一个扫描,选择一个模板。
  假如现在有一个XP系统,IP 192.168.0.146需要进行扫描的,则配置如下:
  扫描完成后可以查看扫描结果,也可以导出扫描结果。
  同时,nessus还支持pdf、web、csv等多种方式汇报扫描结果。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号